| Co
│ │ │ -001ff060: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74 mplexity: | low
|---|
<
│ │ │ -001ff080: 7472 3e3c 7468 3e44 6973 7275 7074 696f tr>Disruptio
│ │ │ -001ff090: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f n: | low | |
│ │ │ -001ff0b0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e Reboot: |
│ │ │ -001ff0c0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c false |
|---|
<
│ │ │ -001ff0d0: 7472 3e3c 7468 3e53 7472 6174 6567 793a tr>Strategy:
│ │ │ -001ff0e0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65 | disable
│ │ │ -001ff0f0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c | - n
│ │ │ -001ff110: 616d 653a 2045 6e73 7572 6520 7873 6572 ame: Ensure xser
│ │ │ -001ff120: 7665 722d 786f 7267 2069 7320 7265 6d6f ver-xorg is remo
│ │ │ -001ff130: 7665 640a 2020 7061 636b 6167 653a 0a20 ved. package:.
│ │ │ -001ff140: 2020 206e 616d 653a 2078 7365 7276 6572 name: xserver
│ │ │ -001ff150: 2d78 6f72 670a 2020 2020 7374 6174 653a -xorg. state:
│ │ │ -001ff160: 2061 6273 656e 740a 2020 7461 6773 3a0a absent. tags:.
│ │ │ -001ff170: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53-
│ │ │ -001ff180: 434d 2d36 2861 290a 2020 2d20 4e49 5354 CM-6(a). - NIST
│ │ │ -001ff190: 2d38 3030 2d35 332d 434d 2d37 2861 290a -800-53-CM-7(a).
│ │ │ -001ff1a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53-
│ │ │ -001ff1b0: 434d 2d37 2862 290a 2020 2d20 6469 7361 CM-7(b). - disa
│ │ │ -001ff1c0: 626c 655f 7374 7261 7465 6779 0a20 202d ble_strategy. -
│ │ │ -001ff1d0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a low_complexity.
│ │ │ -001ff1e0: 2020 2d20 6c6f 775f 6469 7372 7570 7469 - low_disrupti
│ │ │ -001ff1f0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365 on. - medium_se
│ │ │ -001ff200: 7665 7269 7479 0a20 202d 206e 6f5f 7265 verity. - no_re
│ │ │ -001ff210: 626f 6f74 5f6e 6565 6465 640a 2020 2d20 boot_needed. -
│ │ │ -001ff220: 7061 636b 6167 655f 786f 7267 2d78 3131 package_xorg-x11
│ │ │ -001ff230: 2d73 6572 7665 722d 636f 6d6d 6f6e 5f72 -server-common_r
│ │ │ -001ff240: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f emoved.
<
│ │ │ +001fede0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f th>Complexity:| low | <
│ │ │ +001fee00: 2f74 723e 3c74 723e 3c74 683e 4469 7372 /tr>
| Disr
│ │ │ +001fee10: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e uption: |
│ │ │ +001fee20: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472 low |
|---|
| Reboot: | false | <
│ │ │ +001fee50: 2f74 723e 3c74 723e 3c74 683e 5374 7261 /tr>
|---|
| Stra
│ │ │ +001fee60: 7465 6779 3a3c 2f74 683e 3c74 643e 6469 tegy: | di
│ │ │ +001fee70: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c sable |
|---|
<
│ │ │ +001fee80: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64 /table>- name: Ensure
│ │ │ +001feea0: 2078 7365 7276 6572 2d78 6f72 6720 6973 xserver-xorg is
│ │ │ +001feeb0: 2072 656d 6f76 6564 0a20 2070 6163 6b61 removed. packa
│ │ │ +001feec0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7873 ge:. name: xs
│ │ │ +001feed0: 6572 7665 722d 786f 7267 0a20 2020 2073 erver-xorg. s
│ │ │ +001feee0: 7461 7465 3a20 6162 7365 6e74 0a20 2074 tate: absent. t
│ │ │ +001feef0: 6167 733a 0a20 202d 204e 4953 542d 3830 ags:. - NIST-80
│ │ │ +001fef00: 302d 3533 2d43 4d2d 3628 6129 0a20 202d 0-53-CM-6(a). -
│ │ │ +001fef10: 204e 4953 542d 3830 302d 3533 2d43 4d2d NIST-800-53-CM-
│ │ │ +001fef20: 3728 6129 0a20 202d 204e 4953 542d 3830 7(a). - NIST-80
│ │ │ +001fef30: 302d 3533 2d43 4d2d 3728 6229 0a20 202d 0-53-CM-7(b). -
│ │ │ +001fef40: 2064 6973 6162 6c65 5f73 7472 6174 6567 disable_strateg
│ │ │ +001fef50: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65 y. - low_comple
│ │ │ +001fef60: 7869 7479 0a20 202d 206c 6f77 5f64 6973 xity. - low_dis
│ │ │ +001fef70: 7275 7074 696f 6e0a 2020 2d20 6d65 6469 ruption. - medi
│ │ │ +001fef80: 756d 5f73 6576 6572 6974 790a 2020 2d20 um_severity. -
│ │ │ +001fef90: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564 no_reboot_needed
│ │ │ +001fefa0: 0a20 202d 2070 6163 6b61 6765 5f78 6f72 . - package_xor
│ │ │ +001fefb0: 672d 7831 312d 7365 7276 6572 2d63 6f6d g-x11-server-com
│ │ │ +001fefc0: 6d6f 6e5f 7265 6d6f 7665 640a 3c2f 636f mon_removed.
<
│ │ │ +001fefe0: 6120 636c 6173 733d 2262 746e 2062 746e a class="btn btn
│ │ │ +001feff0: 2d73 7563 6365 7373 2220 6461 7461 2d74 -success" data-t
│ │ │ +001ff000: 6f67 676c 653d 2263 6f6c 6c61 7073 6522 oggle="collapse"
│ │ │ +001ff010: 2064 6174 612d 7461 7267 6574 3d22 2369 data-target="#i
│ │ │ +001ff020: 646d 3238 3833 3722 2074 6162 696e 6465 dm28837" tabinde
│ │ │ +001ff030: 783d 2230 2220 726f 6c65 3d22 6275 7474 x="0" role="butt
│ │ │ +001ff040: 6f6e 2220 6172 6961 2d65 7870 616e 6465 on" aria-expande
│ │ │ +001ff050: 643d 2266 616c 7365 2220 7469 746c 653d d="false" title=
│ │ │ +001ff060: 2241 6374 6976 6174 6520 746f 2072 6576 "Activate to rev
│ │ │ +001ff070: 6561 6c22 2068 7265 663d 2223 2122 3e52 eal" href="#!">R
│ │ │ +001ff080: 656d 6564 6961 7469 6f6e 2050 7570 7065 emediation Puppe
│ │ │ +001ff090: 7420 736e 6970 7065 7420 e287 b23c 2f61 t snippet ...
Complexity:| low |
| Disru
│ │ │ +001ff150: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c ption: | l
│ │ │ +001ff160: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e ow |
|---|
│ │ │ +001ff170: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e | Reboot: |
│ │ │ +001ff180: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f false |
| Strat
│ │ │ +001ff1a0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973 egy: | dis
│ │ │ +001ff1b0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f able |
|---|
include remove_
│ │ │ +001ff1e0: 7873 6572 7665 722d 786f 7267 0a0a 636c xserver-xorg..cl
│ │ │ +001ff1f0: 6173 7320 7265 6d6f 7665 5f78 7365 7276 ass remove_xserv
│ │ │ +001ff200: 6572 2d78 6f72 6720 7b0a 2020 7061 636b er-xorg {. pack
│ │ │ +001ff210: 6167 6520 7b20 2778 7365 7276 6572 2d78 age { 'xserver-x
│ │ │ +001ff220: 6f72 6727 3a0a 2020 2020 656e 7375 7265 org':. ensure
│ │ │ +001ff230: 203d 2667 743b 2027 7075 7267 6564 272c => 'purged',
│ │ │ +001ff240: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f . }.}. 'installed',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -176,14 +159,31 @@
│ │ │ │ - PCI-DSSv4-11.5.2
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_aide_installed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ + package { 'aide':
│ │ │ │ + ensure => 'installed',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -636,26 +636,14 @@
│ │ │ │ $ apt-get remove prelink
│ │ │ │ The use of the prelink package can interfere with the operation of AIDE since it
│ │ │ │ Rationale: binaries. Prelinking can also increase damage caused by vulnerability in a common library
│ │ │ │ like libc.
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_prelink_removed
│ │ │ │ References: _�c_�i_�s 1.6.3
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_prelink
│ │ │ │ -
│ │ │ │ -class remove_prelink {
│ │ │ │ - package { 'prelink':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: medium
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Check If Prelinked Is Installed
│ │ │ │ ansible.builtin.stat:
│ │ │ │ @@ -689,14 +677,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_disruption
│ │ │ │ - medium_complexity
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_prelink_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_prelink
│ │ │ │ +
│ │ │ │ +class remove_prelink {
│ │ │ │ + package { 'prelink':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: medium
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ if [[ -f /usr/sbin/prelink ]];
│ │ │ │ @@ -758,26 +758,14 @@
│ │ │ │ virtualization hypervisor.
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_gdm_removed
│ │ │ │ _�d_�i_�s_�a CCI-000366
│ │ │ │ References: _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000480-GPOS-00227
│ │ │ │ _�c_�i_�s 1.10
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_gdm3
│ │ │ │ -
│ │ │ │ -class remove_gdm3 {
│ │ │ │ - package { 'gdm3':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -804,14 +792,26 @@
│ │ │ │ - NIST-800-53-CM-7(b)
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_gdm_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_gdm3
│ │ │ │ +
│ │ │ │ +class remove_gdm3 {
│ │ │ │ + package { 'gdm3':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}\n' 'gdm3' 2>/dev/null | grep -q '^installed';
│ │ │ │ @@ -847,31 +847,14 @@
│ │ │ │ _�i_�s_�m 1382, 1384, 1386
│ │ │ │ _�n_�i_�s_�t CM-6(a)
│ │ │ │ References: _�o_�s_�p_�p FMT_MOF_EXT.1
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000324-GPOS-00125
│ │ │ │ _�c_�i_�s 1.3.1
│ │ │ │ _�a_�n_�s_�s_�i R33
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 2.2.6, 2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "sudo"
│ │ │ │ -version = "*"
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include install_sudo
│ │ │ │ -
│ │ │ │ -class install_sudo {
│ │ │ │ - package { 'sudo':
│ │ │ │ - ensure => 'installed',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -898,14 +881,31 @@
│ │ │ │ - PCI-DSSv4-2.2.6
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_sudo_installed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include install_sudo
│ │ │ │ +
│ │ │ │ +class install_sudo {
│ │ │ │ + package { 'sudo':
│ │ │ │ + ensure => 'installed',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "sudo"
│ │ │ │ +version = "*"
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -3895,31 +3895,14 @@
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_pam_pwquality_installed
│ │ │ │ _�d_�i_�s_�a CCI-000366
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000480-GPOS-00225
│ │ │ │ References: _�s_�t_�i_�g_�i_�d UBTU-20-010057
│ │ │ │ _�c_�i_�s 5.3.1
│ │ │ │ _�s_�t_�i_�g_�r_�e_�f SV-238228r653859_rule
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ - package { 'libpam-pwquality':
│ │ │ │ - ensure => 'installed',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -3942,14 +3925,31 @@
│ │ │ │ - DISA-STIG-UBTU-20-010057
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_pam_pwquality_installed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ + package { 'libpam-pwquality':
│ │ │ │ + ensure => 'installed',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}\n' 'libpam-runtime' 2>/dev/null | grep -
│ │ │ │ @@ -6274,31 +6274,14 @@
│ │ │ │ _�d_�i_�s_�a CCI-001764, CCI-001774, CCI-002165, CCI-002235
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000368-GPOS-00154, SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123,
│ │ │ │ SRG-OS-000312-GPOS-00124, SRG-OS-000324-GPOS-00125, SRG-OS-000370-GPOS-00155
│ │ │ │ References: _�s_�t_�i_�g_�i_�d UBTU-20-010439
│ │ │ │ _�c_�i_�s 1.7.1.1
│ │ │ │ _�a_�n_�s_�s_�i R45
│ │ │ │ _�s_�t_�i_�g_�r_�e_�f SV-238360r853435_rule
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "apparmor"
│ │ │ │ -version = "*"
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include install_apparmor
│ │ │ │ -
│ │ │ │ -class install_apparmor {
│ │ │ │ - package { 'apparmor':
│ │ │ │ - ensure => 'installed',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Ensure apparmor is installed
│ │ │ │ package:
│ │ │ │ @@ -6309,14 +6292,31 @@
│ │ │ │ - DISA-STIG-UBTU-20-010439
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_apparmor_installed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include install_apparmor
│ │ │ │ +
│ │ │ │ +class install_apparmor {
│ │ │ │ + package { 'apparmor':
│ │ │ │ + ensure => 'installed',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "apparmor"
│ │ │ │ +version = "*"
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then
│ │ │ │ @@ -7211,31 +7211,14 @@
│ │ │ │ References: _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │ _�n_�i_�s_�t CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.PT-1
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024, SRG-OS-000480-GPOS-
│ │ │ │ 00227
│ │ │ │ _�c_�i_�s 4.2.1.1
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ - package { 'rsyslog':
│ │ │ │ - ensure => 'installed',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -7258,14 +7241,31 @@
│ │ │ │ - NIST-800-53-CM-6(a)
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_rsyslog_installed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ + package { 'rsyslog':
│ │ │ │ + ensure => 'installed',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -7296,31 +7296,14 @@
│ │ │ │ A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │ _�n_�i_�s_�t CM-6(a), AU-4(1)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000480-GPOS-00227
│ │ │ │ _�s_�t_�i_�g_�i_�d UBTU-20-010432
│ │ │ │ _�c_�i_�s 4.2.1.2
│ │ │ │ _�s_�t_�i_�g_�r_�e_�f SV-238353r654234_rule
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ - service {'rsyslog':
│ │ │ │ - enable => true,
│ │ │ │ - ensure => 'running',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -7358,14 +7341,31 @@
│ │ │ │ - NIST-800-53-CM-6(a)
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - service_rsyslog_enabled
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ + service {'rsyslog':
│ │ │ │ + enable => true,
│ │ │ │ + ensure => 'running',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -7875,31 +7875,14 @@
│ │ │ │ The iptables-persistent package can be installed with the following command:
│ │ │ │ $ apt-get install iptables-persistent
│ │ │ │ Rationale: A method of configuring and maintaining firewall rules is necessary to configure a Host
│ │ │ │ Based Firewall.
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_iptables-persistent_installed
│ │ │ │ References: _�c_�i_�s 3.5.3.1.1
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "iptables-persistent"
│ │ │ │ -version = "*"
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include install_iptables-persistent
│ │ │ │ -
│ │ │ │ -class install_iptables-persistent {
│ │ │ │ - package { 'iptables-persistent':
│ │ │ │ - ensure => 'installed',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -7920,14 +7903,31 @@
│ │ │ │ tags:
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_iptables-persistent_installed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include install_iptables-persistent
│ │ │ │ +
│ │ │ │ +class install_iptables-persistent {
│ │ │ │ + package { 'iptables-persistent':
│ │ │ │ + ensure => 'installed',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "iptables-persistent"
│ │ │ │ +version = "*"
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}\n' 'iptables' 2>/dev/null | grep -
│ │ │ │ @@ -7945,31 +7945,14 @@
│ │ │ │ operators to set up firewalls and IP masquerading, etc.
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_iptables_installed
│ │ │ │ _�n_�i_�s_�t CM-6(a)
│ │ │ │ References: _�p_�c_�i_�d_�s_�s Req-1.4.1
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000480-GPOS-00227
│ │ │ │ _�c_�i_�s 3.5.3.1.1
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "iptables"
│ │ │ │ -version = "*"
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include install_iptables
│ │ │ │ -
│ │ │ │ -class install_iptables {
│ │ │ │ - package { 'iptables':
│ │ │ │ - ensure => 'installed',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -7994,14 +7977,31 @@
│ │ │ │ - PCI-DSS-Req-1.4.1
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_iptables_installed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include install_iptables
│ │ │ │ +
│ │ │ │ +class install_iptables {
│ │ │ │ + package { 'iptables':
│ │ │ │ + ensure => 'installed',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "iptables"
│ │ │ │ +version = "*"
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if ( dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -8016,26 +8016,14 @@
│ │ │ │ The iptables-persistent package can be removed with the following command:
│ │ │ │ $ apt-get remove iptables-persistent
│ │ │ │ Rationale: Running both ufw and the services included in the iptables-persistent package may lead to
│ │ │ │ conflict.
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_iptables-persistent_removed
│ │ │ │ References: _�c_�i_�s 3.5.1.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_iptables-persistent
│ │ │ │ -
│ │ │ │ -class remove_iptables-persistent {
│ │ │ │ - package { 'iptables-persistent':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -8056,14 +8044,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_iptables-persistent_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_iptables-persistent
│ │ │ │ +
│ │ │ │ +class remove_iptables-persistent {
│ │ │ │ + package { 'iptables-persistent':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}\n' 'ufw' 2>/dev/null | grep -q '^installed';
│ │ │ │ @@ -12859,31 +12859,14 @@
│ │ │ │ nftables is a subsystem of the Linux kernel that can protect against threats originating
│ │ │ │ Rationale: from within a corporate network to include malicious mobile code and poorly configured
│ │ │ │ software on a host.
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_nftables_installed
│ │ │ │ References: _�c_�i_�s 3.5.2.1
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 1.2.1, 1.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "nftables"
│ │ │ │ -version = "*"
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include install_nftables
│ │ │ │ -
│ │ │ │ -class install_nftables {
│ │ │ │ - package { 'nftables':
│ │ │ │ - ensure => 'installed',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -12908,14 +12891,31 @@
│ │ │ │ - PCI-DSSv4-1.2.1
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_nftables_installed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include install_nftables
│ │ │ │ +
│ │ │ │ +class install_nftables {
│ │ │ │ + package { 'nftables':
│ │ │ │ + ensure => 'installed',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "nftables"
│ │ │ │ +version = "*"
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if ( dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -12931,26 +12931,14 @@
│ │ │ │ packets/datagrams/frames and is the successor to iptables. The nftables package can be removed with
│ │ │ │ the following command:
│ │ │ │ $ apt-get remove nftables
│ │ │ │ Rationale: Running both firewalld and nftables may lead to conflict.
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_nftables_removed
│ │ │ │ References: _�c_�i_�s 3.5.3.1.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_nftables
│ │ │ │ -
│ │ │ │ -class remove_nftables {
│ │ │ │ - package { 'nftables':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure nftables is removed
│ │ │ │ package:
│ │ │ │ @@ -12959,14 +12947,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_nftables_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_nftables
│ │ │ │ +
│ │ │ │ +class remove_nftables {
│ │ │ │ + package { 'nftables':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove nftables
│ │ │ │ @@ -12981,31 +12981,14 @@
│ │ │ │ nftables service The nftables service can be enabled with the following command:
│ │ │ │ $ sudo systemctl enable nftables.service
│ │ │ │ Rationale: The nftables service restores the nftables rules from the rules files referenced in the /
│ │ │ │ etc/sysconfig/nftables.conf file during boot or the starting of the nftables service
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_service_nftables_enabled
│ │ │ │ References: _�c_�i_�s 3.5.2.9
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["nftables"]
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include enable_nftables
│ │ │ │ -
│ │ │ │ -class enable_nftables {
│ │ │ │ - service {'nftables':
│ │ │ │ - enable => true,
│ │ │ │ - ensure => 'running',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -13038,14 +13021,31 @@
│ │ │ │ tags:
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - service_nftables_enabled
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include enable_nftables
│ │ │ │ +
│ │ │ │ +class enable_nftables {
│ │ │ │ + service {'nftables':
│ │ │ │ + enable => true,
│ │ │ │ + ensure => 'running',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["nftables"]
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if ( dpkg-query --show --showformat='${db:Status-Status}\n' 'nftables' 2>/dev/null | grep -
│ │ │ │ @@ -13069,50 +13069,14 @@
│ │ │ │ systemctl disable nftables
│ │ │ │ Rationale: Running both firewalld and nftables may lead to conflict. nftables is actually one of the
│ │ │ │ backends for firewalld management tools.
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_service_nftables_disabled
│ │ │ │ References: _�c_�i_�s 3.5.3.1.2
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 1.2.1, 1.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -masked = ["nftables"]
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�K_�u_�b_�e_�r_�n_�e_�t_�e_�s_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: medium
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: true
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -apiVersion: machineconfiguration.openshift.io/v1
│ │ │ │ -kind: MachineConfig
│ │ │ │ -spec:
│ │ │ │ - config:
│ │ │ │ - ignition:
│ │ │ │ - version: 3.1.0
│ │ │ │ - systemd:
│ │ │ │ - units:
│ │ │ │ - - name: nftables.service
│ │ │ │ - enabled: false
│ │ │ │ - mask: true
│ │ │ │ - - name: nftables.socket
│ │ │ │ - enabled: false
│ │ │ │ - mask: true
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include disable_nftables
│ │ │ │ -
│ │ │ │ -class disable_nftables {
│ │ │ │ - service {'nftables':
│ │ │ │ - enable => false,
│ │ │ │ - ensure => 'stopped',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -13199,14 +13163,50 @@
│ │ │ │ - PCI-DSSv4-1.2.1
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - service_nftables_disabled
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�K_�u_�b_�e_�r_�n_�e_�t_�e_�s_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: medium
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: true
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +apiVersion: machineconfiguration.openshift.io/v1
│ │ │ │ +kind: MachineConfig
│ │ │ │ +spec:
│ │ │ │ + config:
│ │ │ │ + ignition:
│ │ │ │ + version: 3.1.0
│ │ │ │ + systemd:
│ │ │ │ + units:
│ │ │ │ + - name: nftables.service
│ │ │ │ + enabled: false
│ │ │ │ + mask: true
│ │ │ │ + - name: nftables.socket
│ │ │ │ + enabled: false
│ │ │ │ + mask: true
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include disable_nftables
│ │ │ │ +
│ │ │ │ +class disable_nftables {
│ │ │ │ + service {'nftables':
│ │ │ │ + enable => false,
│ │ │ │ + ensure => 'stopped',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +masked = ["nftables"]
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if ( dpkg-query --show --showformat='${db:Status-Status}\n' 'firewalld' 2>/dev/null | grep -
│ │ │ │ @@ -13748,31 +13748,14 @@
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_ufw_installed
│ │ │ │ _�d_�i_�s_�a CCI-002314
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000297-GPOS-00115
│ │ │ │ References: _�s_�t_�i_�g_�i_�d UBTU-20-010433
│ │ │ │ _�c_�i_�s 3.5.1.1
│ │ │ │ _�s_�t_�i_�g_�r_�e_�f SV-238354r853429_rule
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ufw"
│ │ │ │ -version = "*"
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include install_ufw
│ │ │ │ -
│ │ │ │ -class install_ufw {
│ │ │ │ - package { 'ufw':
│ │ │ │ - ensure => 'installed',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -13795,14 +13778,31 @@
│ │ │ │ - DISA-STIG-UBTU-20-010433
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_ufw_installed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include install_ufw
│ │ │ │ +
│ │ │ │ +class install_ufw {
│ │ │ │ + package { 'ufw':
│ │ │ │ + ensure => 'installed',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ufw"
│ │ │ │ +version = "*"
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -13816,26 +13816,14 @@
│ │ │ │ *�**�**�* R�Ru�ul�le�e?� ?� R�Re�em�mo�ov�ve�e u�uf�fw�w P�Pa�ac�ck�ka�ag�ge�e ?� ?� _�[�[_�r�r_�e�e_�f�f_�]�] *�**�**�*
│ │ │ │ The ufw package can be removed with the following command:
│ │ │ │ $ apt-get remove ufw
│ │ │ │ Rationale: Running iptables.persistent with ufw enabled may lead to conflict and unexpected results.
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_ufw_removed
│ │ │ │ References: _�c_�i_�s 3.5.2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_ufw
│ │ │ │ -
│ │ │ │ -class remove_ufw {
│ │ │ │ - package { 'ufw':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -13856,14 +13844,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_ufw_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_ufw
│ │ │ │ +
│ │ │ │ +class remove_ufw {
│ │ │ │ + package { 'ufw':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -13887,31 +13887,14 @@
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_service_ufw_enabled
│ │ │ │ _�d_�i_�s_�a CCI-002314
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000297-GPOS-00115
│ │ │ │ References: _�s_�t_�i_�g_�i_�d UBTU-20-010434
│ │ │ │ _�c_�i_�s 3.5.1.3
│ │ │ │ _�s_�t_�i_�g_�r_�e_�f SV-238355r853430_rule
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ufw"]
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include enable_ufw
│ │ │ │ -
│ │ │ │ -class enable_ufw {
│ │ │ │ - service {'ufw':
│ │ │ │ - enable => true,
│ │ │ │ - ensure => 'running',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -13947,14 +13930,31 @@
│ │ │ │ - DISA-STIG-UBTU-20-010434
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - service_ufw_enabled
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include enable_ufw
│ │ │ │ +
│ │ │ │ +class enable_ufw {
│ │ │ │ + service {'ufw':
│ │ │ │ + enable => true,
│ │ │ │ + ensure => 'running',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ufw"]
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -16050,50 +16050,14 @@
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.11.2.6, A.13.1.1, A.13.2.1, A.18.1.4, A.6.2.1, A.6.2.2, A.7.1.1,
│ │ │ │ A.9.2.1, A.9.2.2, A.9.2.3, A.9.2.4, A.9.2.6, A.9.3.1, A.9.4.2, A.9.4.3
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a), MP-7
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.AC-1, PR.AC-3, PR.AC-6, PR.AC-7
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000114-GPOS-00059, SRG-OS-000378-GPOS-00163, SRG-OS-000480-GPOS-
│ │ │ │ 00227
│ │ │ │ _�c_�i_�s 1.1.23
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -masked = ["autofs"]
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�K_�u_�b_�e_�r_�n_�e_�t_�e_�s_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: medium
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: true
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -apiVersion: machineconfiguration.openshift.io/v1
│ │ │ │ -kind: MachineConfig
│ │ │ │ -spec:
│ │ │ │ - config:
│ │ │ │ - ignition:
│ │ │ │ - version: 3.1.0
│ │ │ │ - systemd:
│ │ │ │ - units:
│ │ │ │ - - name: autofs.service
│ │ │ │ - enabled: false
│ │ │ │ - mask: true
│ │ │ │ - - name: autofs.socket
│ │ │ │ - enabled: false
│ │ │ │ - mask: true
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include disable_autofs
│ │ │ │ -
│ │ │ │ -class disable_autofs {
│ │ │ │ - service {'autofs':
│ │ │ │ - enable => false,
│ │ │ │ - ensure => 'stopped',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -16194,14 +16158,50 @@
│ │ │ │ - NIST-800-53-MP-7
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - service_autofs_disabled
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�K_�u_�b_�e_�r_�n_�e_�t_�e_�s_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: medium
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: true
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +apiVersion: machineconfiguration.openshift.io/v1
│ │ │ │ +kind: MachineConfig
│ │ │ │ +spec:
│ │ │ │ + config:
│ │ │ │ + ignition:
│ │ │ │ + version: 3.1.0
│ │ │ │ + systemd:
│ │ │ │ + units:
│ │ │ │ + - name: autofs.service
│ │ │ │ + enabled: false
│ │ │ │ + mask: true
│ │ │ │ + - name: autofs.socket
│ │ │ │ + enabled: false
│ │ │ │ + mask: true
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include disable_autofs
│ │ │ │ +
│ │ │ │ +class disable_autofs {
│ │ │ │ + service {'autofs':
│ │ │ │ + enable => false,
│ │ │ │ + ensure => 'stopped',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +masked = ["autofs"]
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if ( dpkg-query --show --showformat='${db:Status-Status}\n' 'autofs' 2>/dev/null | grep -
│ │ │ │ @@ -19495,26 +19495,14 @@
│ │ │ │ SR 1.1, SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 1.2, SR 1.3, SR 1.4, SR
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │ 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.IP-1, PR.PT-3
│ │ │ │ _�c_�i_�s 2.2.3
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_avahi-daemon
│ │ │ │ -
│ │ │ │ -class remove_avahi-daemon {
│ │ │ │ - package { 'avahi-daemon':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure avahi-daemon is removed
│ │ │ │ package:
│ │ │ │ @@ -19526,14 +19514,26 @@
│ │ │ │ - NIST-800-53-CM-7(b)
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_avahi_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_avahi-daemon
│ │ │ │ +
│ │ │ │ +class remove_avahi-daemon {
│ │ │ │ + package { 'avahi-daemon':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove avahi-daemon
│ │ │ │ @@ -19562,50 +19562,14 @@
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │ 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.IP-1, PR.PT-3
│ │ │ │ _�c_�i_�s 2.2.3
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 2.2.4, 2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -masked = ["avahi-daemon"]
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�K_�u_�b_�e_�r_�n_�e_�t_�e_�s_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: medium
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: true
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -apiVersion: machineconfiguration.openshift.io/v1
│ │ │ │ -kind: MachineConfig
│ │ │ │ -spec:
│ │ │ │ - config:
│ │ │ │ - ignition:
│ │ │ │ - version: 3.1.0
│ │ │ │ - systemd:
│ │ │ │ - units:
│ │ │ │ - - name: avahi-daemon.service
│ │ │ │ - enabled: false
│ │ │ │ - mask: true
│ │ │ │ - - name: avahi-daemon.socket
│ │ │ │ - enabled: false
│ │ │ │ - mask: true
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include disable_avahi-daemon
│ │ │ │ -
│ │ │ │ -class disable_avahi-daemon {
│ │ │ │ - service {'avahi-daemon':
│ │ │ │ - enable => false,
│ │ │ │ - ensure => 'stopped',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -19706,14 +19670,50 @@
│ │ │ │ - PCI-DSSv4-2.2.4
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - service_avahi-daemon_disabled
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�K_�u_�b_�e_�r_�n_�e_�t_�e_�s_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: medium
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: true
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +apiVersion: machineconfiguration.openshift.io/v1
│ │ │ │ +kind: MachineConfig
│ │ │ │ +spec:
│ │ │ │ + config:
│ │ │ │ + ignition:
│ │ │ │ + version: 3.1.0
│ │ │ │ + systemd:
│ │ │ │ + units:
│ │ │ │ + - name: avahi-daemon.service
│ │ │ │ + enabled: false
│ │ │ │ + mask: true
│ │ │ │ + - name: avahi-daemon.socket
│ │ │ │ + enabled: false
│ │ │ │ + mask: true
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include disable_avahi-daemon
│ │ │ │ +
│ │ │ │ +class disable_avahi-daemon {
│ │ │ │ + service {'avahi-daemon':
│ │ │ │ + enable => false,
│ │ │ │ + ensure => 'stopped',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +masked = ["avahi-daemon"]
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if ( dpkg-query --show --showformat='${db:Status-Status}\n' 'avahi-daemon' 2>/dev/null | grep -
│ │ │ │ @@ -20259,31 +20259,14 @@
│ │ │ │ SR 1.1, SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 1.2, SR 1.3, SR 1.4, SR
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │ 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.IP-1, PR.PT-3
│ │ │ │ _�c_�i_�s 5.1.1
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["cron"]
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ - service {'cron':
│ │ │ │ - enable => true,
│ │ │ │ - ensure => 'running',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -20317,14 +20300,31 @@
│ │ │ │ - NIST-800-53-CM-6(a)
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - service_cron_enabled
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ + service {'cron':
│ │ │ │ + enable => true,
│ │ │ │ + ensure => 'running',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["cron"]
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -21846,26 +21846,14 @@
│ │ │ │ The support for Yellowpages should not be installed unless it is required.
│ │ │ │ NIS is the historical SUN service for central account management, more and more replaced
│ │ │ │ Rationale: by LDAP. NIS does not support efficiently security constraints, ACL, etc. and should not
│ │ │ │ be used.
│ │ │ │ Severity: low
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │ References: _�c_�i_�s 2.2.17
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ - package { 'nis':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure nis is removed
│ │ │ │ package:
│ │ │ │ @@ -21874,14 +21862,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - low_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_nis_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ + package { 'nis':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove nis
│ │ │ │ @@ -21923,26 +21923,14 @@
│ │ │ │ 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.IP-1, PR.PT-3
│ │ │ │ _�c_�i_�s 2.2.5
│ │ │ │ _�a_�n_�s_�s_�i R62
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 2.2.4, 2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_isc-dhcp-server
│ │ │ │ -
│ │ │ │ -class remove_isc-dhcp-server {
│ │ │ │ - package { 'isc-dhcp-server':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure isc-dhcp-server is removed
│ │ │ │ package:
│ │ │ │ @@ -21956,14 +21944,26 @@
│ │ │ │ - PCI-DSSv4-2.2.4
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_dhcp_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_isc-dhcp-server
│ │ │ │ +
│ │ │ │ +class remove_isc-dhcp-server {
│ │ │ │ + package { 'isc-dhcp-server':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove isc-dhcp-server
│ │ │ │ @@ -21999,26 +21999,14 @@
│ │ │ │ SR 1.1, SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 1.2, SR 1.3, SR 1.4, SR
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │ 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.IP-1, PR.PT-3
│ │ │ │ _�c_�i_�s 2.2.8
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_bind9
│ │ │ │ -
│ │ │ │ -class remove_bind9 {
│ │ │ │ - package { 'bind9':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure bind9 is removed
│ │ │ │ package:
│ │ │ │ @@ -22030,14 +22018,26 @@
│ │ │ │ - NIST-800-53-CM-7(b)
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - low_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_bind_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_bind9
│ │ │ │ +
│ │ │ │ +class remove_bind9 {
│ │ │ │ + package { 'bind9':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove bind9
│ │ │ │ @@ -22076,26 +22076,14 @@
│ │ │ │ 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c), IA-5(1).1(v), CM-7, CM-7.1(ii)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.IP-1, PR.PT-3
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000074-GPOS-00042, SRG-OS-000095-GPOS-00049, SRG-OS-000480-GPOS-
│ │ │ │ 00227
│ │ │ │ _�c_�i_�s 2.2.9
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_vsftpd
│ │ │ │ -
│ │ │ │ -class remove_vsftpd {
│ │ │ │ - package { 'vsftpd':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure vsftpd is removed
│ │ │ │ package:
│ │ │ │ @@ -22111,14 +22099,26 @@
│ │ │ │ - NIST-800-53-IA-5(1).1(v)
│ │ │ │ - disable_strategy
│ │ │ │ - high_severity
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_vsftpd_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_vsftpd
│ │ │ │ +
│ │ │ │ +class remove_vsftpd {
│ │ │ │ + package { 'vsftpd':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove vsftpd
│ │ │ │ @@ -22157,26 +22157,14 @@
│ │ │ │ References: SR 1.1, SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 1.2, SR 1.3, SR 1.4, SR
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │ 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.IP-1, PR.PT-3
│ │ │ │ _�c_�i_�s 2.2.10
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_apache2
│ │ │ │ -
│ │ │ │ -class remove_apache2 {
│ │ │ │ - package { 'apache2':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure apache2 is removed
│ │ │ │ package:
│ │ │ │ @@ -22188,14 +22176,26 @@
│ │ │ │ - NIST-800-53-CM-7(b)
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_httpd_removed
│ │ │ │ - unknown_severity
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_apache2
│ │ │ │ +
│ │ │ │ +class remove_apache2 {
│ │ │ │ + package { 'apache2':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove apache2
│ │ │ │ @@ -22223,26 +22223,14 @@
│ │ │ │ References: SR 1.1, SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 1.2, SR 1.3, SR 1.4, SR
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │ 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.IP-1, PR.PT-3
│ │ │ │ _�c_�i_�s 2.2.10
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_nginx
│ │ │ │ -
│ │ │ │ -class remove_nginx {
│ │ │ │ - package { 'nginx':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure nginx is removed
│ │ │ │ package:
│ │ │ │ @@ -22254,14 +22242,26 @@
│ │ │ │ - NIST-800-53-CM-7(b)
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_nginx_removed
│ │ │ │ - unknown_severity
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_nginx
│ │ │ │ +
│ │ │ │ +class remove_nginx {
│ │ │ │ + package { 'nginx':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove nginx
│ │ │ │ @@ -22281,26 +22281,14 @@
│ │ │ │ The cyrus-imapd package can be removed with the following command:
│ │ │ │ $ apt-get remove cyrus-imapd
│ │ │ │ Rationale: If there is no need to make the cyrus-imapd software available, removing it provides a
│ │ │ │ safeguard against its activation.
│ │ │ │ Severity: unknown
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_cyrus-imapd_removed
│ │ │ │ References: _�c_�i_�s 2.2.11
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_cyrus-imapd
│ │ │ │ -
│ │ │ │ -class remove_cyrus-imapd {
│ │ │ │ - package { 'cyrus-imapd':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure cyrus-imapd is removed
│ │ │ │ package:
│ │ │ │ @@ -22309,14 +22297,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_cyrus-imapd_removed
│ │ │ │ - unknown_severity
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_cyrus-imapd
│ │ │ │ +
│ │ │ │ +class remove_cyrus-imapd {
│ │ │ │ + package { 'cyrus-imapd':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove cyrus-imapd
│ │ │ │ @@ -22333,26 +22333,14 @@
│ │ │ │ The dovecot-core package can be removed with the following command:
│ │ │ │ $ apt-get remove dovecot-core
│ │ │ │ Rationale: If there is no need to make the Dovecot software available, removing it provides a
│ │ │ │ safeguard against its activation.
│ │ │ │ Severity: unknown
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_dovecot_removed
│ │ │ │ References: _�c_�i_�s 2.2.11
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_dovecot-core
│ │ │ │ -
│ │ │ │ -class remove_dovecot-core {
│ │ │ │ - package { 'dovecot-core':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure dovecot-core is removed
│ │ │ │ package:
│ │ │ │ @@ -22361,14 +22349,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_dovecot_removed
│ │ │ │ - unknown_severity
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_dovecot-core
│ │ │ │ +
│ │ │ │ +class remove_dovecot-core {
│ │ │ │ + package { 'dovecot-core':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove dovecot-core
│ │ │ │ @@ -22398,26 +22398,14 @@
│ │ │ │ command:
│ │ │ │ $ apt-get remove lapd-utils
│ │ │ │ Rationale: If the system does not need to act as an LDAP client, it is recommended that the software
│ │ │ │ is removed to reduce the potential attack surface.
│ │ │ │ Severity: low
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_openldap-clients_removed
│ │ │ │ References: _�c_�i_�s 2.3.5
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_ldap-utils
│ │ │ │ -
│ │ │ │ -class remove_ldap-utils {
│ │ │ │ - package { 'ldap-utils':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure ldap-utils is removed
│ │ │ │ package:
│ │ │ │ @@ -22426,14 +22414,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - low_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_openldap-clients_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_ldap-utils
│ │ │ │ +
│ │ │ │ +class remove_ldap-utils {
│ │ │ │ + package { 'ldap-utils':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove ldap-utils
│ │ │ │ @@ -22464,26 +22464,14 @@
│ │ │ │ SR 1.1, SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 1.2, SR 1.3, SR 1.4, SR
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │ 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.IP-1, PR.PT-3
│ │ │ │ _�c_�i_�s 2.2.6
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_slapd
│ │ │ │ -
│ │ │ │ -class remove_slapd {
│ │ │ │ - package { 'slapd':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure slapd is removed
│ │ │ │ package:
│ │ │ │ @@ -22495,14 +22483,26 @@
│ │ │ │ - NIST-800-53-CM-7(b)
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - low_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_openldap-servers_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_slapd
│ │ │ │ +
│ │ │ │ +class remove_slapd {
│ │ │ │ + package { 'slapd':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove slapd
│ │ │ │ @@ -22620,26 +22620,14 @@
│ │ │ │ then this service should be disabled. The rpcbind package can be removed with the following command:
│ │ │ │ $ apt-get remove rpcbind
│ │ │ │ Rationale: If the system does not require rpc based services, it is recommended that rpcbind be
│ │ │ │ disabled to reduce the attack surface.
│ │ │ │ Severity: low
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_rpcbind_removed
│ │ │ │ References: _�c_�i_�s 2.3.6
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_rpcbind
│ │ │ │ -
│ │ │ │ -class remove_rpcbind {
│ │ │ │ - package { 'rpcbind':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -22660,14 +22648,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - low_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_rpcbind_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_rpcbind
│ │ │ │ +
│ │ │ │ +class remove_rpcbind {
│ │ │ │ + package { 'rpcbind':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -22688,26 +22688,14 @@
│ │ │ │ The nfs-kernel-server package can be removed with the following command:
│ │ │ │ $ apt-get remove nfs-kernel-server
│ │ │ │ Rationale: If the system does not export NFS shares or act as an NFS client, it is recommended that
│ │ │ │ these services be removed to reduce the remote attack surface.
│ │ │ │ Severity: low
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_nfs-kernel-server_removed
│ │ │ │ References: _�c_�i_�s 2.2.7
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_nfs-kernel-server
│ │ │ │ -
│ │ │ │ -class remove_nfs-kernel-server {
│ │ │ │ - package { 'nfs-kernel-server':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure nfs-kernel-server is removed
│ │ │ │ package:
│ │ │ │ @@ -22716,14 +22704,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - low_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_nfs-kernel-server_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_nfs-kernel-server
│ │ │ │ +
│ │ │ │ +class remove_nfs-kernel-server {
│ │ │ │ + package { 'nfs-kernel-server':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove nfs-kernel-server
│ │ │ │ @@ -22792,31 +22792,14 @@
│ │ │ │ _�p_�c_�i_�d_�s_�s Req-10.4
│ │ │ │ References: _�o_�s_�-_�s_�r_�g SRG-OS-000355-GPOS-00143
│ │ │ │ _�s_�t_�i_�g_�i_�d UBTU-20-010435
│ │ │ │ _�c_�i_�s 2.2.1.1
│ │ │ │ _�a_�n_�s_�s_�i R71
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 10.6.1, 10.6
│ │ │ │ _�s_�t_�i_�g_�r_�e_�f SV-238356r877038_rule
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ - package { 'chrony':
│ │ │ │ - ensure => 'installed',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -22845,14 +22828,31 @@
│ │ │ │ - PCI-DSSv4-10.6.1
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_chrony_installed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ + package { 'chrony':
│ │ │ │ + ensure => 'installed',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -22873,31 +22873,14 @@
│ │ │ │ synchronization is working properly.
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_service_chronyd_enabled
│ │ │ │ _�d_�i_�s_�a CCI-004923
│ │ │ │ References: _�i_�s_�m 0988, 1405
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000355-GPOS-00143
│ │ │ │ _�c_�i_�s 2.2.1.3
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["chrony"]
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include enable_chrony
│ │ │ │ -
│ │ │ │ -class enable_chrony {
│ │ │ │ - service {'chrony':
│ │ │ │ - enable => true,
│ │ │ │ - ensure => 'running',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -22931,14 +22914,31 @@
│ │ │ │ tags:
│ │ │ │ - enable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - service_chronyd_enabled
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include enable_chrony
│ │ │ │ +
│ │ │ │ +class enable_chrony {
│ │ │ │ + service {'chrony':
│ │ │ │ + enable => true,
│ │ │ │ + ensure => 'running',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["chrony"]
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -22975,31 +22975,14 @@
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │ References: _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │ _�n_�i_�s_�t CM-6(a), AU-8(1)(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.PT-1
│ │ │ │ _�p_�c_�i_�d_�s_�s Req-10.4
│ │ │ │ _�c_�i_�s 2.2.1.4
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 10.6.1, 10.6
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ - service {'ntp':
│ │ │ │ - enable => true,
│ │ │ │ - ensure => 'running',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -23043,14 +23026,31 @@
│ │ │ │ - PCI-DSSv4-10.6.1
│ │ │ │ - enable_strategy
│ │ │ │ - high_severity
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - service_ntp_enabled
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ + service {'ntp':
│ │ │ │ + enable => true,
│ │ │ │ + ensure => 'running',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -23086,31 +23086,14 @@
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │ References: _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │ _�n_�i_�s_�t CM-6(a), AU-8(1)(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.PT-1
│ │ │ │ _�p_�c_�i_�d_�s_�s Req-10.4
│ │ │ │ _�c_�i_�s 2.2.1.2
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 10.6.1, 10.6
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["systemd-timesyncd"]
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include enable_systemd-timesyncd
│ │ │ │ -
│ │ │ │ -class enable_systemd-timesyncd {
│ │ │ │ - service {'systemd-timesyncd':
│ │ │ │ - enable => true,
│ │ │ │ - ensure => 'running',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -23155,14 +23138,31 @@
│ │ │ │ - PCI-DSSv4-10.6.1
│ │ │ │ - enable_strategy
│ │ │ │ - high_severity
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - service_timesyncd_enabled
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include enable_systemd-timesyncd
│ │ │ │ +
│ │ │ │ +class enable_systemd-timesyncd {
│ │ │ │ + service {'systemd-timesyncd':
│ │ │ │ + enable => true,
│ │ │ │ + ensure => 'running',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["systemd-timesyncd"]
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -23463,26 +23463,14 @@
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │ A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ _�c_�i_�s 2.1.1
│ │ │ │ _�a_�n_�s_�s_�i R62
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 2.2.4, 2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ - package { 'xinetd':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -23513,14 +23501,26 @@
│ │ │ │ - PCI-DSSv4-2.2.4
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - low_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_xinetd_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ + package { 'xinetd':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -23552,26 +23552,14 @@
│ │ │ │ _�c_�u_�i 3.1.13
│ │ │ │ _�h_�i_�p_�a_�a 164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │ 164.312(e)(2)(ii)
│ │ │ │ References: _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │ _�c_�i_�s 2.3.2
│ │ │ │ _�a_�n_�s_�s_�i R62
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 2.2.4, 2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_rsh-client
│ │ │ │ -
│ │ │ │ -class remove_rsh-client {
│ │ │ │ - package { 'rsh-client':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure rsh-client is removed
│ │ │ │ package:
│ │ │ │ @@ -23583,14 +23571,26 @@
│ │ │ │ - PCI-DSSv4-2.2.4
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_rsh_removed
│ │ │ │ - unknown_severity
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_rsh-client
│ │ │ │ +
│ │ │ │ +class remove_rsh-client {
│ │ │ │ + package { 'rsh-client':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove rsh-client
│ │ │ │ @@ -23657,26 +23657,14 @@
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_talk_removed
│ │ │ │ _�h_�i_�p_�a_�a 164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │ 164.312(e)(2)(ii)
│ │ │ │ References: _�c_�i_�s 2.3.3
│ │ │ │ _�a_�n_�s_�s_�i R62
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 2.2.4, 2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ - package { 'talk':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure talk is removed
│ │ │ │ package:
│ │ │ │ @@ -23687,14 +23675,26 @@
│ │ │ │ - PCI-DSSv4-2.2.4
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_talk_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ + package { 'talk':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove talk
│ │ │ │ @@ -23718,26 +23718,14 @@
│ │ │ │ _�c_�u_�i 3.1.13
│ │ │ │ _�h_�i_�p_�a_�a 164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │ 164.312(e)(2)(ii)
│ │ │ │ References: _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │ _�c_�i_�s 2.3.4
│ │ │ │ _�a_�n_�s_�s_�i R62
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 2.2.4, 2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ - package { 'telnet':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure telnet is removed
│ │ │ │ package:
│ │ │ │ @@ -23749,14 +23737,26 @@
│ │ │ │ - PCI-DSSv4-2.2.4
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - low_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_telnet_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ + package { 'telnet':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove telnet
│ │ │ │ @@ -23771,26 +23771,14 @@
│ │ │ │ package can be removed with the following command:
│ │ │ │ $ apt-get remove rsync
│ │ │ │ Rationale: The rsyncd service presents a security risk as it uses unencrypted protocols for
│ │ │ │ communication.
│ │ │ │ Severity: medium
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_rsync_removed
│ │ │ │ References: _�c_�i_�s 2.2.16
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_rsync
│ │ │ │ -
│ │ │ │ -class remove_rsync {
│ │ │ │ - package { 'rsync':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure rsync is removed
│ │ │ │ package:
│ │ │ │ @@ -23799,14 +23787,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_rsync_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_rsync
│ │ │ │ +
│ │ │ │ +class remove_rsync {
│ │ │ │ + package { 'rsync':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove rsync
│ │ │ │ @@ -23839,26 +23839,14 @@
│ │ │ │ References: SR 1.1, SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 1.2, SR 1.3, SR 1.4, SR
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │ 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.IP-1, PR.PT-3
│ │ │ │ _�c_�i_�s 2.2.4
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_cups
│ │ │ │ -
│ │ │ │ -class remove_cups {
│ │ │ │ - package { 'cups':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure cups is removed
│ │ │ │ package:
│ │ │ │ @@ -23870,14 +23858,26 @@
│ │ │ │ - NIST-800-53-CM-7(b)
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_cups_removed
│ │ │ │ - unknown_severity
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_cups
│ │ │ │ +
│ │ │ │ +class remove_cups {
│ │ │ │ + package { 'cups':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove cups
│ │ │ │ @@ -23902,50 +23902,14 @@
│ │ │ │ References: SR 1.1, SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 1.2, SR 1.3, SR 1.4, SR
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │ 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.IP-1, PR.PT-3
│ │ │ │ _�c_�i_�s 2.2.4
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -masked = ["cups"]
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�K_�u_�b_�e_�r_�n_�e_�t_�e_�s_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: medium
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: true
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -apiVersion: machineconfiguration.openshift.io/v1
│ │ │ │ -kind: MachineConfig
│ │ │ │ -spec:
│ │ │ │ - config:
│ │ │ │ - ignition:
│ │ │ │ - version: 3.1.0
│ │ │ │ - systemd:
│ │ │ │ - units:
│ │ │ │ - - name: cups.service
│ │ │ │ - enabled: false
│ │ │ │ - mask: true
│ │ │ │ - - name: cups.socket
│ │ │ │ - enabled: false
│ │ │ │ - mask: true
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ -include disable_cups
│ │ │ │ -
│ │ │ │ -class disable_cups {
│ │ │ │ - service {'cups':
│ │ │ │ - enable => false,
│ │ │ │ - ensure => 'stopped',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -24032,14 +23996,50 @@
│ │ │ │ - NIST-800-53-CM-7(b)
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - service_cups_disabled
│ │ │ │ - unknown_severity
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�K_�u_�b_�e_�r_�n_�e_�t_�e_�s_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: medium
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: true
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +apiVersion: machineconfiguration.openshift.io/v1
│ │ │ │ +kind: MachineConfig
│ │ │ │ +spec:
│ │ │ │ + config:
│ │ │ │ + ignition:
│ │ │ │ + version: 3.1.0
│ │ │ │ + systemd:
│ │ │ │ + units:
│ │ │ │ + - name: cups.service
│ │ │ │ + enabled: false
│ │ │ │ + mask: true
│ │ │ │ + - name: cups.socket
│ │ │ │ + enabled: false
│ │ │ │ + mask: true
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: enable
│ │ │ │ +include disable_cups
│ │ │ │ +
│ │ │ │ +class disable_cups {
│ │ │ │ + service {'cups':
│ │ │ │ + enable => false,
│ │ │ │ + ensure => 'stopped',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�O_�S_�B_�u_�i_�l_�d_� _�B_�l_�u_�e_�p_�r_�i_�n_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +masked = ["cups"]
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -24079,26 +24079,14 @@
│ │ │ │ The squid package can be removed with the following command:
│ │ │ │ $ apt-get remove squid
│ │ │ │ Rationale: If there is no need to make the proxy server software available, removing it provides a
│ │ │ │ safeguard against its activation.
│ │ │ │ Severity: unknown
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_squid_removed
│ │ │ │ References: _�c_�i_�s 2.2.13
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_squid
│ │ │ │ -
│ │ │ │ -class remove_squid {
│ │ │ │ - package { 'squid':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure squid is removed
│ │ │ │ package:
│ │ │ │ @@ -24107,14 +24095,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_squid_removed
│ │ │ │ - unknown_severity
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_squid
│ │ │ │ +
│ │ │ │ +class remove_squid {
│ │ │ │ + package { 'squid':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove squid
│ │ │ │ @@ -24139,26 +24139,14 @@
│ │ │ │ The samba package can be removed with the following command:
│ │ │ │ $ apt-get remove samba
│ │ │ │ Rationale: If there is no need to make the Samba software available, removing it provides a
│ │ │ │ safeguard against its activation.
│ │ │ │ Severity: unknown
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_samba_removed
│ │ │ │ References: _�c_�i_�s 2.2.12
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_samba
│ │ │ │ -
│ │ │ │ -class remove_samba {
│ │ │ │ - package { 'samba':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure samba is removed
│ │ │ │ package:
│ │ │ │ @@ -24167,14 +24155,26 @@
│ │ │ │ tags:
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_samba_removed
│ │ │ │ - unknown_severity
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_samba
│ │ │ │ +
│ │ │ │ +class remove_samba {
│ │ │ │ + package { 'samba':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove samba
│ │ │ │ @@ -24199,26 +24199,14 @@
│ │ │ │ $ apt-get remove snmp
│ │ │ │ Rationale: If there is no need to run SNMP server software, removing the package provides a
│ │ │ │ safeguard against its activation.
│ │ │ │ Severity: unknown
│ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_package_net-snmp_removed
│ │ │ │ References: _�c_�i_�s 2.2.14
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 2.2.4, 2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_snmp
│ │ │ │ -
│ │ │ │ -class remove_snmp {
│ │ │ │ - package { 'snmp':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure snmp is removed
│ │ │ │ package:
│ │ │ │ @@ -24229,14 +24217,26 @@
│ │ │ │ - PCI-DSSv4-2.2.4
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_net-snmp_removed
│ │ │ │ - unknown_severity
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_snmp
│ │ │ │ +
│ │ │ │ +class remove_snmp {
│ │ │ │ + package { 'snmp':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove snmp
│ │ │ │ @@ -27368,23 +27368,14 @@
│ │ │ │ _�n_�i_�s_�t AC-17(a), CM-6(a), AC-6(1)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.AC-4, PR.DS-5
│ │ │ │ _�p_�c_�i_�d_�s_�s Req-2.2.4
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000480-GPOS-00227
│ │ │ │ _�c_�i_�s 5.2.2
│ │ │ │ _�a_�n_�s_�s_�i R50
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 2.2.6, 2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ - exec { 'sshd_priv_key':
│ │ │ │ - command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ - path => '/bin:/usr/bin'
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: configure
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -27448,14 +27439,23 @@
│ │ │ │ - PCI-DSSv4-2.2.6
│ │ │ │ - configure_strategy
│ │ │ │ - file_permissions_sshd_private_key
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ + exec { 'sshd_priv_key':
│ │ │ │ + command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ + path => '/bin:/usr/bin'
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │
│ │ │ │ for keyfile in /etc/ssh/*_key; do
│ │ │ │ test -f "$keyfile" || continue
│ │ │ │ @@ -27496,23 +27496,14 @@
│ │ │ │ _�n_�i_�s_�t AC-17(a), CM-6(a), AC-6(1)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.AC-4, PR.DS-5
│ │ │ │ _�p_�c_�i_�d_�s_�s Req-2.2.4
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000480-GPOS-00227
│ │ │ │ _�c_�i_�s 5.2.3
│ │ │ │ _�a_�n_�s_�s_�i R50
│ │ │ │ _�p_�c_�i_�d_�s_�s_�4 2.2.6, 2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ - exec { 'sshd_pub_key':
│ │ │ │ - command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ - path => '/bin:/usr/bin'
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: configure
│ │ │ │ - name: Gather the package facts
│ │ │ │ package_facts:
│ │ │ │ @@ -27576,14 +27567,23 @@
│ │ │ │ - PCI-DSSv4-2.2.6
│ │ │ │ - configure_strategy
│ │ │ │ - file_permissions_sshd_pub_key
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ + exec { 'sshd_pub_key':
│ │ │ │ + command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ + path => '/bin:/usr/bin'
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: configure
│ │ │ │ # Remediation is applicable only in certain platforms
│ │ │ │ if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -27627,26 +27627,14 @@
│ │ │ │ _�i_�s_�a_�-_�6_�2_�4_�4_�3_�-_�2_�0_�1_�3 SR 1.13, SR 2.6, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR 5.1, SR 5.2,
│ │ │ │ References: SR 5.3, SR 7.1, SR 7.6
│ │ │ │ _�i_�s_�o_�2_�7_�0_�0_�1_�-_�2_�0_�1_�3 A.11.2.6, A.13.1.1, A.13.2.1, A.14.1.3, A.6.2.1, A.6.2.2
│ │ │ │ _�n_�i_�s_�t CM-7(a), CM-7(b), CM-6(a)
│ │ │ │ _�n_�i_�s_�t_�-_�c_�s_�f PR.AC-3, PR.PT-4
│ │ │ │ _�o_�s_�-_�s_�r_�g SRG-OS-000480-GPOS-00227
│ │ │ │ _�c_�i_�s 2.2.2
│ │ │ │ -_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ -C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ -D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ -R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ -S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ -include remove_xserver-xorg
│ │ │ │ -
│ │ │ │ -class remove_xserver-xorg {
│ │ │ │ - package { 'xserver-xorg':
│ │ │ │ - ensure => 'purged',
│ │ │ │ - }
│ │ │ │ -}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�A_�n_�s_�i_�b_�l_�e_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ - name: Ensure xserver-xorg is removed
│ │ │ │ package:
│ │ │ │ @@ -27658,14 +27646,26 @@
│ │ │ │ - NIST-800-53-CM-7(b)
│ │ │ │ - disable_strategy
│ │ │ │ - low_complexity
│ │ │ │ - low_disruption
│ │ │ │ - medium_severity
│ │ │ │ - no_reboot_needed
│ │ │ │ - package_xorg-x11-server-common_removed
│ │ │ │ +_�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�P_�u_�p_�p_�e_�t_� _�s_�n_�i_�p_�p_�e_�t_� _�⇲
│ │ │ │ +C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ +D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ +R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ +S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │ +include remove_xserver-xorg
│ │ │ │ +
│ │ │ │ +class remove_xserver-xorg {
│ │ │ │ + package { 'xserver-xorg':
│ │ │ │ + ensure => 'purged',
│ │ │ │ + }
│ │ │ │ +}
│ │ │ │ _�R_�e_�m_�e_�d_�i_�a_�t_�i_�o_�n_� _�S_�h_�e_�l_�l_� _�s_�c_�r_�i_�p_�t_� _�⇲
│ │ │ │ C�Co�om�mp�pl�le�ex�xi�it�ty�y:�: low
│ │ │ │ D�Di�is�sr�ru�up�pt�ti�io�on�n:�: low
│ │ │ │ R�Re�eb�bo�oo�ot�t:�: false
│ │ │ │ S�St�tr�ra�at�te�eg�gy�y:�: disable
│ │ │ │
│ │ │ │ # CAUTION: This remediation script will remove xserver-xorg
│ │ ├── ./usr/share/doc/ssg-debderived/ssg-ubuntu2004-guide-cis_level1_workstation.html
│ │ │ @@ -15090,138 +15090,138 @@
│ │ │ 0003af10: 7073 6522 2064 6174 612d 7461 7267 6574 pse" data-target
│ │ │ 0003af20: 3d22 2369 646d 3237 3633 2220 7461 6269 ="#idm2763" tabi
│ │ │ 0003af30: 6e64 6578 3d22 3022 2072 6f6c 653d 2262 ndex="0" role="b
│ │ │ 0003af40: 7574 746f 6e22 2061 7269 612d 6578 7061 utton" aria-expa
│ │ │ 0003af50: 6e64 6564 3d22 6661 6c73 6522 2074 6974 nded="false" tit
│ │ │ 0003af60: 6c65 3d22 4163 7469 7661 7465 2074 6f20 le="Activate to
│ │ │ 0003af70: 7265 7665 616c 2220 6872 6566 3d22 2321 reveal" href="#!
│ │ │ -0003af80: 223e 5265 6d65 6469 6174 696f 6e20 4f53 ">Remediation OS
│ │ │ -0003af90: 4275 696c 6420 426c 7565 7072 696e 7420 Build Blueprint
│ │ │ -0003afa0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c snippet ...<
│ │ │ -0003afb0: 6272 3e3c 6469 7620 636c 6173 733d 2270 br>
│ │ │ -0003aff0: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61 .[[packages]].na
│ │ │ -0003b000: 6d65 203d 2022 6169 6465 220a 7665 7273 me = "aide".vers
│ │ │ -0003b010: 696f 6e20 3d20 222a 220a 3c2f 636f 6465 ion = "*".
| Co
│ │ │ -0003b170: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74 mplexity: | low
|---|
<
│ │ │ -0003b190: 7472 3e3c 7468 3e44 6973 7275 7074 696f tr>Disruptio
│ │ │ -0003b1a0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f n: | low | |
│ │ │ -0003b1c0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e Reboot: |
│ │ │ -0003b1d0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c false |
|---|
<
│ │ │ -0003b1e0: 7472 3e3c 7468 3e53 7472 6174 6567 793a tr>Strategy:
│ │ │ -0003b1f0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c | enable<
│ │ │ -0003b200: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65 /td> |
incl
│ │ │ -0003b220: 7564 6520 696e 7374 616c 6c5f 6169 6465 ude install_aide
│ │ │ -0003b230: 0a0a 636c 6173 7320 696e 7374 616c 6c5f ..class install_
│ │ │ -0003b240: 6169 6465 207b 0a20 2070 6163 6b61 6765 aide {. package
│ │ │ -0003b250: 207b 2027 6169 6465 273a 0a20 2020 2065 { 'aide':. e
│ │ │ -0003b260: 6e73 7572 6520 3d26 6774 3b20 2769 6e73 nsure => 'ins
│ │ │ -0003b270: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c talled',. }.}.<
│ │ │ -0003b280: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469 /code>
Remediation Ans
│ │ │ -0003b340: 6962 6c65 2073 6e69 7070 6574 20e2 87b2 ible snippet ...
│ │ │ -0003b350: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61
│ │ │ -0003b3d0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c | Complexity:<
│ │ │ -0003b3e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e /th> | low |
│ │ │ -0003b3f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973
| Dis
│ │ │ -0003b400: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464 ruption: | low |
|---|
Reboot: | false |
│ │ │ -0003b440: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472 | Str
│ │ │ -0003b450: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65 ategy: | e
│ │ │ -0003b460: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c nable |
|---|
<
│ │ │ -0003b470: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64 /table>- name: Gather
│ │ │ -0003b490: 2074 6865 2070 6163 6b61 6765 2066 6163 the package fac
│ │ │ -0003b4a0: 7473 0a20 2070 6163 6b61 6765 5f66 6163 ts. package_fac
│ │ │ -0003b4b0: 7473 3a0a 2020 2020 6d61 6e61 6765 723a ts:. manager:
│ │ │ -0003b4c0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020 auto. tags:.
│ │ │ -0003b4d0: 2d20 434a 4953 2d35 2e31 302e 312e 330a - CJIS-5.10.1.3.
│ │ │ -0003b4e0: 2020 2d20 4449 5341 2d53 5449 472d 5542 - DISA-STIG-UB
│ │ │ -0003b4f0: 5455 2d32 302d 3031 3034 3530 0a20 202d TU-20-010450. -
│ │ │ -0003b500: 204e 4953 542d 3830 302d 3533 2d43 4d2d NIST-800-53-CM-
│ │ │ -0003b510: 3628 6129 0a20 202d 2050 4349 2d44 5353 6(a). - PCI-DSS
│ │ │ -0003b520: 2d52 6571 2d31 312e 350a 2020 2d20 5043 -Req-11.5. - PC
│ │ │ -0003b530: 492d 4453 5376 342d 3131 2e35 2e32 0a20 I-DSSv4-11.5.2.
│ │ │ -0003b540: 202d 2065 6e61 626c 655f 7374 7261 7465 - enable_strate
│ │ │ -0003b550: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c gy. - low_compl
│ │ │ -0003b560: 6578 6974 790a 2020 2d20 6c6f 775f 6469 exity. - low_di
│ │ │ -0003b570: 7372 7570 7469 6f6e 0a20 202d 206d 6564 sruption. - med
│ │ │ -0003b580: 6975 6d5f 7365 7665 7269 7479 0a20 202d ium_severity. -
│ │ │ -0003b590: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465 no_reboot_neede
│ │ │ -0003b5a0: 640a 2020 2d20 7061 636b 6167 655f 6169 d. - package_ai
│ │ │ -0003b5b0: 6465 5f69 6e73 7461 6c6c 6564 0a0a 2d20 de_installed..-
│ │ │ -0003b5c0: 6e61 6d65 3a20 456e 7375 7265 2061 6964 name: Ensure aid
│ │ │ -0003b5d0: 6520 6973 2069 6e73 7461 6c6c 6564 0a20 e is installed.
│ │ │ -0003b5e0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61 package:. na
│ │ │ -0003b5f0: 6d65 3a20 6169 6465 0a20 2020 2073 7461 me: aide. sta
│ │ │ -0003b600: 7465 3a20 7072 6573 656e 740a 2020 7768 te: present. wh
│ │ │ -0003b610: 656e 3a20 2722 6c69 6e75 782d 6261 7365 en: '"linux-base
│ │ │ -0003b620: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac
│ │ │ -0003b630: 7473 2e70 6163 6b61 6765 7327 0a20 2074 ts.packages'. t
│ │ │ -0003b640: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5.
│ │ │ -0003b650: 3130 2e31 2e33 0a20 202d 2044 4953 412d 10.1.3. - DISA-
│ │ │ -0003b660: 5354 4947 2d55 4254 552d 3230 2d30 3130 STIG-UBTU-20-010
│ │ │ -0003b670: 3435 300a 2020 2d20 4e49 5354 2d38 3030 450. - NIST-800
│ │ │ -0003b680: 2d35 332d 434d 2d36 2861 290a 2020 2d20 -53-CM-6(a). -
│ │ │ -0003b690: 5043 492d 4453 532d 5265 712d 3131 2e35 PCI-DSS-Req-11.5
│ │ │ -0003b6a0: 0a20 202d 2050 4349 2d44 5353 7634 2d31 . - PCI-DSSv4-1
│ │ │ -0003b6b0: 312e 352e 320a 2020 2d20 656e 6162 6c65 1.5.2. - enable
│ │ │ -0003b6c0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f _strategy. - lo
│ │ │ -0003b6d0: 775f 636f 6d70 6c65 7869 7479 0a20 202d w_complexity. -
│ │ │ -0003b6e0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a low_disruption.
│ │ │ -0003b6f0: 2020 2d20 6d65 6469 756d 5f73 6576 6572 - medium_sever
│ │ │ -0003b700: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f ity. - no_reboo
│ │ │ -0003b710: 745f 6e65 6564 6564 0a20 202d 2070 6163 t_needed. - pac
│ │ │ -0003b720: 6b61 6765 5f61 6964 655f 696e 7374 616c kage_aide_instal
│ │ │ -0003b730: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265 led.
Remediation An
│ │ │ +0003af90: 7369 626c 6520 736e 6970 7065 7420 e287 sible snippet ..
│ │ │ +0003afa0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c .
| Complexity:
│ │ │ +0003b030: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464 | low |
|---|
| Di
│ │ │ +0003b050: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74 sruption: | low
|---|
<
│ │ │ +0003b070: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f tr>Reboot: | false | | St
│ │ │ +0003b0a0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e rategy: |
│ │ │ +0003b0b0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e enable |
|---|
│ │ │ +0003b0c0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f
- name: Gathe
│ │ │ +0003b0e0: 7220 7468 6520 7061 636b 6167 6520 6661 r the package fa
│ │ │ +0003b0f0: 6374 730a 2020 7061 636b 6167 655f 6661 cts. package_fa
│ │ │ +0003b100: 6374 733a 0a20 2020 206d 616e 6167 6572 cts:. manager
│ │ │ +0003b110: 3a20 6175 746f 0a20 2074 6167 733a 0a20 : auto. tags:.
│ │ │ +0003b120: 202d 2043 4a49 532d 352e 3130 2e31 2e33 - CJIS-5.10.1.3
│ │ │ +0003b130: 0a20 202d 2044 4953 412d 5354 4947 2d55 . - DISA-STIG-U
│ │ │ +0003b140: 4254 552d 3230 2d30 3130 3435 300a 2020 BTU-20-010450.
│ │ │ +0003b150: 2d20 4e49 5354 2d38 3030 2d35 332d 434d - NIST-800-53-CM
│ │ │ +0003b160: 2d36 2861 290a 2020 2d20 5043 492d 4453 -6(a). - PCI-DS
│ │ │ +0003b170: 532d 5265 712d 3131 2e35 0a20 202d 2050 S-Req-11.5. - P
│ │ │ +0003b180: 4349 2d44 5353 7634 2d31 312e 352e 320a CI-DSSv4-11.5.2.
│ │ │ +0003b190: 2020 2d20 656e 6162 6c65 5f73 7472 6174 - enable_strat
│ │ │ +0003b1a0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70 egy. - low_comp
│ │ │ +0003b1b0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64 lexity. - low_d
│ │ │ +0003b1c0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65 isruption. - me
│ │ │ +0003b1d0: 6469 756d 5f73 6576 6572 6974 790a 2020 dium_severity.
│ │ │ +0003b1e0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564 - no_reboot_need
│ │ │ +0003b1f0: 6564 0a20 202d 2070 6163 6b61 6765 5f61 ed. - package_a
│ │ │ +0003b200: 6964 655f 696e 7374 616c 6c65 640a 0a2d ide_installed..-
│ │ │ +0003b210: 206e 616d 653a 2045 6e73 7572 6520 6169 name: Ensure ai
│ │ │ +0003b220: 6465 2069 7320 696e 7374 616c 6c65 640a de is installed.
│ │ │ +0003b230: 2020 7061 636b 6167 653a 0a20 2020 206e package:. n
│ │ │ +0003b240: 616d 653a 2061 6964 650a 2020 2020 7374 ame: aide. st
│ │ │ +0003b250: 6174 653a 2070 7265 7365 6e74 0a20 2077 ate: present. w
│ │ │ +0003b260: 6865 6e3a 2027 226c 696e 7578 2d62 6173 hen: '"linux-bas
│ │ │ +0003b270: 6522 2069 6e20 616e 7369 626c 655f 6661 e" in ansible_fa
│ │ │ +0003b280: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'.
│ │ │ +0003b290: 7461 6773 3a0a 2020 2d20 434a 4953 2d35 tags:. - CJIS-5
│ │ │ +0003b2a0: 2e31 302e 312e 330a 2020 2d20 4449 5341 .10.1.3. - DISA
│ │ │ +0003b2b0: 2d53 5449 472d 5542 5455 2d32 302d 3031 -STIG-UBTU-20-01
│ │ │ +0003b2c0: 3034 3530 0a20 202d 204e 4953 542d 3830 0450. - NIST-80
│ │ │ +0003b2d0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d 0-53-CM-6(a). -
│ │ │ +0003b2e0: 2050 4349 2d44 5353 2d52 6571 2d31 312e PCI-DSS-Req-11.
│ │ │ +0003b2f0: 350a 2020 2d20 5043 492d 4453 5376 342d 5. - PCI-DSSv4-
│ │ │ +0003b300: 3131 2e35 2e32 0a20 202d 2065 6e61 626c 11.5.2. - enabl
│ │ │ +0003b310: 655f 7374 7261 7465 6779 0a20 202d 206c e_strategy. - l
│ │ │ +0003b320: 6f77 5f63 6f6d 706c 6578 6974 790a 2020 ow_complexity.
│ │ │ +0003b330: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e - low_disruption
│ │ │ +0003b340: 0a20 202d 206d 6564 6975 6d5f 7365 7665 . - medium_seve
│ │ │ +0003b350: 7269 7479 0a20 202d 206e 6f5f 7265 626f rity. - no_rebo
│ │ │ +0003b360: 6f74 5f6e 6565 6465 640a 2020 2d20 7061 ot_needed. - pa
│ │ │ +0003b370: 636b 6167 655f 6169 6465 5f69 6e73 7461 ckage_aide_insta
│ │ │ +0003b380: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072 lled.
| Complex
│ │ │ +0003b4e0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77 ity: | low
│ │ │ +0003b4f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74 |
|---|
Disruption:| low |
| Reboo
│ │ │ +0003b530: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365 t: | false
│ │ │ +0003b540: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74 |
|---|
Strategy:
│ │ │ +0003b560: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c | enable | <
│ │ │ +0003b570: 2f74 723e 3c2f 7461 626c 653e 3c70 7265 /tr>
include i
│ │ │ +0003b590: 6e73 7461 6c6c 5f61 6964 650a 0a63 6c61 nstall_aide..cla
│ │ │ +0003b5a0: 7373 2069 6e73 7461 6c6c 5f61 6964 6520 ss install_aide
│ │ │ +0003b5b0: 7b0a 2020 7061 636b 6167 6520 7b20 2761 {. package { 'a
│ │ │ +0003b5c0: 6964 6527 3a0a 2020 2020 656e 7375 7265 ide':. ensure
│ │ │ +0003b5d0: 203d 2667 743b 2027 696e 7374 616c 6c65 => 'installe
│ │ │ +0003b5e0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 d',. }.}.
<
│ │ │ +0003b700: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163 pre>.[[pac
│ │ │ +0003b710: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022 kages]].name = "
│ │ │ +0003b720: 6169 6465 220a 7665 7273 696f 6e20 3d20 aide".version =
│ │ │ +0003b730: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265 "*".Reme
│ │ │ -00041430: 6469 6174 696f 6e20 5075 7070 6574 2073 diation Puppet s
│ │ │ -00041440: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62 nippet ...| Co
│ │ │ -000414d0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74 mplexity: | low
|---|
<
│ │ │ -000414f0: 7472 3e3c 7468 3e44 6973 7275 7074 696f tr>Disruptio
│ │ │ -00041500: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f n: | low | |
│ │ │ -00041520: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e Reboot: |
│ │ │ -00041530: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c false |
|---|
<
│ │ │ -00041540: 7472 3e3c 7468 3e53 7472 6174 6567 793a tr>Strategy:
│ │ │ -00041550: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65 | disable
│ │ │ -00041560: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c | inc
│ │ │ -00041580: 6c75 6465 2072 656d 6f76 655f 7072 656c lude remove_prel
│ │ │ -00041590: 696e 6b0a 0a63 6c61 7373 2072 656d 6f76 ink..class remov
│ │ │ -000415a0: 655f 7072 656c 696e 6b20 7b0a 2020 7061 e_prelink {. pa
│ │ │ -000415b0: 636b 6167 6520 7b20 2770 7265 6c69 6e6b ckage { 'prelink
│ │ │ -000415c0: 273a 0a20 2020 2065 6e73 7572 6520 3d26 ':. ensure =&
│ │ │ -000415d0: 6774 3b20 2770 7572 6765 6427 2c0a 2020 gt; 'purged',.
│ │ │ -000415e0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265 }.}.
Remediatio
│ │ │ -000416a0: 6e20 416e 7369 626c 6520 736e 6970 7065 n Ansible snippe
│ │ │ -000416b0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469 t ...
<
│ │ │ -000416f0: 7461 626c 6520 636c 6173 733d 2274 6162 table class="tab
│ │ │ -00041700: 6c65 2074 6162 6c65 2d73 7472 6970 6564 le table-striped
│ │ │ -00041710: 2074 6162 6c65 2d62 6f72 6465 7265 6420 table-bordered
│ │ │ -00041720: 7461 626c 652d 636f 6e64 656e 7365 6422 table-condensed"
│ │ │ -00041730: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578 >| Complex
│ │ │ -00041740: 6974 793a 3c2f 7468 3e3c 7464 3e6d 6564 ity: | med
│ │ │ -00041750: 6975 6d3c 2f74 643e 3c2f 7472 3e3c 7472 ium |
|---|
| Disruption:
│ │ │ -00041770: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464 | low |
|---|
| Re
│ │ │ -00041790: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661 boot: | fa
│ │ │ -000417a0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472 lse |
|---|
| Strategy: | disable |
|---|
│ │ │ -000417e0: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d
- nam
│ │ │ -000417f0: 653a 2043 6865 636b 2049 6620 5072 656c e: Check If Prel
│ │ │ -00041800: 696e 6b65 6420 4973 2049 6e73 7461 6c6c inked Is Install
│ │ │ -00041810: 6564 0a20 2061 6e73 6962 6c65 2e62 7569 ed. ansible.bui
│ │ │ -00041820: 6c74 696e 2e73 7461 743a 0a20 2020 2070 ltin.stat:. p
│ │ │ -00041830: 6174 683a 202f 7573 722f 7362 696e 2f70 ath: /usr/sbin/p
│ │ │ -00041840: 7265 6c69 6e6b 0a20 2020 2067 6574 5f63 relink. get_c
│ │ │ -00041850: 6865 636b 7375 6d3a 2066 616c 7365 0a20 hecksum: false.
│ │ │ -00041860: 2072 6567 6973 7465 723a 2070 7265 6c69 register: preli
│ │ │ -00041870: 6e6b 0a20 2074 6167 733a 0a20 202d 2064 nk. tags:. - d
│ │ │ -00041880: 6973 6162 6c65 5f73 7472 6174 6567 790a isable_strategy.
│ │ │ -00041890: 2020 2d20 6c6f 775f 6469 7372 7570 7469 - low_disrupti
│ │ │ -000418a0: 6f6e 0a20 202d 206d 6564 6975 6d5f 636f on. - medium_co
│ │ │ -000418b0: 6d70 6c65 7869 7479 0a20 202d 206d 6564 mplexity. - med
│ │ │ -000418c0: 6975 6d5f 7365 7665 7269 7479 0a20 202d ium_severity. -
│ │ │ -000418d0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465 no_reboot_neede
│ │ │ -000418e0: 640a 2020 2d20 7061 636b 6167 655f 7072 d. - package_pr
│ │ │ -000418f0: 656c 696e 6b5f 7265 6d6f 7665 640a 0a2d elink_removed..-
│ │ │ -00041900: 206e 616d 653a 2052 6573 746f 7265 2050 name: Restore P
│ │ │ -00041910: 7265 6c69 6e6b 6564 2042 696e 6172 6965 relinked Binarie
│ │ │ -00041920: 730a 2020 616e 7369 626c 652e 6275 696c s. ansible.buil
│ │ │ -00041930: 7469 6e2e 636f 6d6d 616e 643a 0a20 2020 tin.command:.
│ │ │ -00041940: 2063 6d64 3a20 7072 656c 696e 6b20 2d75 cmd: prelink -u
│ │ │ -00041950: 610a 2020 7768 656e 3a20 7072 656c 696e a. when: prelin
│ │ │ -00041960: 6b2e 7374 6174 2e65 7869 7374 730a 2020 k.stat.exists.
│ │ │ -00041970: 7461 6773 3a0a 2020 2d20 6469 7361 626c tags:. - disabl
│ │ │ -00041980: 655f 7374 7261 7465 6779 0a20 202d 206c e_strategy. - l
│ │ │ -00041990: 6f77 5f64 6973 7275 7074 696f 6e0a 2020 ow_disruption.
│ │ │ -000419a0: 2d20 6d65 6469 756d 5f63 6f6d 706c 6578 - medium_complex
│ │ │ -000419b0: 6974 790a 2020 2d20 6d65 6469 756d 5f73 ity. - medium_s
│ │ │ -000419c0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72 everity. - no_r
│ │ │ -000419d0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d eboot_needed. -
│ │ │ -000419e0: 2070 6163 6b61 6765 5f70 7265 6c69 6e6b package_prelink
│ │ │ -000419f0: 5f72 656d 6f76 6564 0a0a 2d20 6e61 6d65 _removed..- name
│ │ │ -00041a00: 3a20 456e 7375 7265 2070 7265 6c69 6e6b : Ensure prelink
│ │ │ -00041a10: 2069 7320 5265 6d6f 7665 640a 2020 616e is Removed. an
│ │ │ -00041a20: 7369 626c 652e 6275 696c 7469 6e2e 7061 sible.builtin.pa
│ │ │ -00041a30: 636b 6167 653a 0a20 2020 206e 616d 653a ckage:. name:
│ │ │ -00041a40: 2070 7265 6c69 6e6b 0a20 2020 2073 7461 prelink. sta
│ │ │ -00041a50: 7465 3a20 6162 7365 6e74 0a20 2074 6167 te: absent. tag
│ │ │ -00041a60: 733a 0a20 202d 2064 6973 6162 6c65 5f73 s:. - disable_s
│ │ │ -00041a70: 7472 6174 6567 790a 2020 2d20 6c6f 775f trategy. - low_
│ │ │ -00041a80: 6469 7372 7570 7469 6f6e 0a20 202d 206d disruption. - m
│ │ │ -00041a90: 6564 6975 6d5f 636f 6d70 6c65 7869 7479 edium_complexity
│ │ │ -00041aa0: 0a20 202d 206d 6564 6975 6d5f 7365 7665 . - medium_seve
│ │ │ -00041ab0: 7269 7479 0a20 202d 206e 6f5f 7265 626f rity. - no_rebo
│ │ │ -00041ac0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061 ot_needed. - pa
│ │ │ -00041ad0: 636b 6167 655f 7072 656c 696e 6b5f 7265 ckage_prelink_re
│ │ │ -00041ae0: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70 moved.<
│ │ │ +00041450: 6272 3e3c 6469 7620 636c 6173 733d 2270 br>| C
│ │ │ +000414d0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c omplexity: | <
│ │ │ +000414e0: 7464 3e6d 6564 6975 6d3c 2f74 643e 3c2f td>medium
|---|
| Disru
│ │ │ +00041500: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c ption: | l
│ │ │ +00041510: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e ow |
|---|
│ │ │ +00041520: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e | Reboot: |
│ │ │ +00041530: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f false |
| Strat
│ │ │ +00041550: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973 egy: | dis
│ │ │ +00041560: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f able |
|---|
- name: Check I
│ │ │ +00041590: 6620 5072 656c 696e 6b65 6420 4973 2049 f Prelinked Is I
│ │ │ +000415a0: 6e73 7461 6c6c 6564 0a20 2061 6e73 6962 nstalled. ansib
│ │ │ +000415b0: 6c65 2e62 7569 6c74 696e 2e73 7461 743a le.builtin.stat:
│ │ │ +000415c0: 0a20 2020 2070 6174 683a 202f 7573 722f . path: /usr/
│ │ │ +000415d0: 7362 696e 2f70 7265 6c69 6e6b 0a20 2020 sbin/prelink.
│ │ │ +000415e0: 2067 6574 5f63 6865 636b 7375 6d3a 2066 get_checksum: f
│ │ │ +000415f0: 616c 7365 0a20 2072 6567 6973 7465 723a alse. register:
│ │ │ +00041600: 2070 7265 6c69 6e6b 0a20 2074 6167 733a prelink. tags:
│ │ │ +00041610: 0a20 202d 2064 6973 6162 6c65 5f73 7472 . - disable_str
│ │ │ +00041620: 6174 6567 790a 2020 2d20 6c6f 775f 6469 ategy. - low_di
│ │ │ +00041630: 7372 7570 7469 6f6e 0a20 202d 206d 6564 sruption. - med
│ │ │ +00041640: 6975 6d5f 636f 6d70 6c65 7869 7479 0a20 ium_complexity.
│ │ │ +00041650: 202d 206d 6564 6975 6d5f 7365 7665 7269 - medium_severi
│ │ │ +00041660: 7479 0a20 202d 206e 6f5f 7265 626f 6f74 ty. - no_reboot
│ │ │ +00041670: 5f6e 6565 6465 640a 2020 2d20 7061 636b _needed. - pack
│ │ │ +00041680: 6167 655f 7072 656c 696e 6b5f 7265 6d6f age_prelink_remo
│ │ │ +00041690: 7665 640a 0a2d 206e 616d 653a 2052 6573 ved..- name: Res
│ │ │ +000416a0: 746f 7265 2050 7265 6c69 6e6b 6564 2042 tore Prelinked B
│ │ │ +000416b0: 696e 6172 6965 730a 2020 616e 7369 626c inaries. ansibl
│ │ │ +000416c0: 652e 6275 696c 7469 6e2e 636f 6d6d 616e e.builtin.comman
│ │ │ +000416d0: 643a 0a20 2020 2063 6d64 3a20 7072 656c d:. cmd: prel
│ │ │ +000416e0: 696e 6b20 2d75 610a 2020 7768 656e 3a20 ink -ua. when:
│ │ │ +000416f0: 7072 656c 696e 6b2e 7374 6174 2e65 7869 prelink.stat.exi
│ │ │ +00041700: 7374 730a 2020 7461 6773 3a0a 2020 2d20 sts. tags:. -
│ │ │ +00041710: 6469 7361 626c 655f 7374 7261 7465 6779 disable_strategy
│ │ │ +00041720: 0a20 202d 206c 6f77 5f64 6973 7275 7074 . - low_disrupt
│ │ │ +00041730: 696f 6e0a 2020 2d20 6d65 6469 756d 5f63 ion. - medium_c
│ │ │ +00041740: 6f6d 706c 6578 6974 790a 2020 2d20 6d65 omplexity. - me
│ │ │ +00041750: 6469 756d 5f73 6576 6572 6974 790a 2020 dium_severity.
│ │ │ +00041760: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564 - no_reboot_need
│ │ │ +00041770: 6564 0a20 202d 2070 6163 6b61 6765 5f70 ed. - package_p
│ │ │ +00041780: 7265 6c69 6e6b 5f72 656d 6f76 6564 0a0a relink_removed..
│ │ │ +00041790: 2d20 6e61 6d65 3a20 456e 7375 7265 2070 - name: Ensure p
│ │ │ +000417a0: 7265 6c69 6e6b 2069 7320 5265 6d6f 7665 relink is Remove
│ │ │ +000417b0: 640a 2020 616e 7369 626c 652e 6275 696c d. ansible.buil
│ │ │ +000417c0: 7469 6e2e 7061 636b 6167 653a 0a20 2020 tin.package:.
│ │ │ +000417d0: 206e 616d 653a 2070 7265 6c69 6e6b 0a20 name: prelink.
│ │ │ +000417e0: 2020 2073 7461 7465 3a20 6162 7365 6e74 state: absent
│ │ │ +000417f0: 0a20 2074 6167 733a 0a20 202d 2064 6973 . tags:. - dis
│ │ │ +00041800: 6162 6c65 5f73 7472 6174 6567 790a 2020 able_strategy.
│ │ │ +00041810: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e - low_disruption
│ │ │ +00041820: 0a20 202d 206d 6564 6975 6d5f 636f 6d70 . - medium_comp
│ │ │ +00041830: 6c65 7869 7479 0a20 202d 206d 6564 6975 lexity. - mediu
│ │ │ +00041840: 6d5f 7365 7665 7269 7479 0a20 202d 206e m_severity. - n
│ │ │ +00041850: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a o_reboot_needed.
│ │ │ +00041860: 2020 2d20 7061 636b 6167 655f 7072 656c - package_prel
│ │ │ +00041870: 696e 6b5f 7265 6d6f 7665 640a 3c2f 636f ink_removed.
<
│ │ │ +00041890: 6120 636c 6173 733d 2262 746e 2062 746e a class="btn btn
│ │ │ +000418a0: 2d73 7563 6365 7373 2220 6461 7461 2d74 -success" data-t
│ │ │ +000418b0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522 oggle="collapse"
│ │ │ +000418c0: 2064 6174 612d 7461 7267 6574 3d22 2369 data-target="#i
│ │ │ +000418d0: 646d 3236 3634 2220 7461 6269 6e64 6578 dm2664" tabindex
│ │ │ +000418e0: 3d22 3022 2072 6f6c 653d 2262 7574 746f ="0" role="butto
│ │ │ +000418f0: 6e22 2061 7269 612d 6578 7061 6e64 6564 n" aria-expanded
│ │ │ +00041900: 3d22 6661 6c73 6522 2074 6974 6c65 3d22 ="false" title="
│ │ │ +00041910: 4163 7469 7661 7465 2074 6f20 7265 7665 Activate to reve
│ │ │ +00041920: 616c 2220 6872 6566 3d22 2321 223e 5265 al" href="#!">Re
│ │ │ +00041930: 6d65 6469 6174 696f 6e20 5075 7070 6574 mediation Puppet
│ │ │ +00041940: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e snippet ...
│ │ │ +00041950: 3c62 723e 3c64 6976 2063 6c61 7373 3d22
- name: G
│ │ │ +00047b90: 6174 6865 7220 7468 6520 7061 636b 6167 ather the packag
│ │ │ +00047ba0: 6520 6661 6374 730a 2020 7061 636b 6167 e facts. packag
│ │ │ +00047bb0: 655f 6661 6374 733a 0a20 2020 206d 616e e_facts:. man
│ │ │ +00047bc0: 6167 6572 3a20 6175 746f 0a20 2074 6167 ager: auto. tag
│ │ │ +00047bd0: 733a 0a20 202d 204e 4953 542d 3830 302d s:. - NIST-800-
│ │ │ +00047be0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050 53-CM-6(a). - P
│ │ │ +00047bf0: 4349 2d44 5353 7634 2d32 2e32 0a20 202d CI-DSSv4-2.2. -
│ │ │ +00047c00: 2050 4349 2d44 5353 7634 2d32 2e32 2e36 PCI-DSSv4-2.2.6
│ │ │ +00047c10: 0a20 202d 2065 6e61 626c 655f 7374 7261 . - enable_stra
│ │ │ +00047c20: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d tegy. - low_com
│ │ │ +00047c30: 706c 6578 6974 790a 2020 2d20 6c6f 775f plexity. - low_
│ │ │ +00047c40: 6469 7372 7570 7469 6f6e 0a20 202d 206d disruption. - m
│ │ │ +00047c50: 6564 6975 6d5f 7365 7665 7269 7479 0a20 edium_severity.
│ │ │ +00047c60: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565 - no_reboot_nee
│ │ │ +00047c70: 6465 640a 2020 2d20 7061 636b 6167 655f ded. - package_
│ │ │ +00047c80: 7375 646f 5f69 6e73 7461 6c6c 6564 0a0a sudo_installed..
│ │ │ +00047c90: 2d20 6e61 6d65 3a20 456e 7375 7265 2073 - name: Ensure s
│ │ │ +00047ca0: 7564 6f20 6973 2069 6e73 7461 6c6c 6564 udo is installed
│ │ │ +00047cb0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020 . package:.
│ │ │ +00047cc0: 6e61 6d65 3a20 7375 646f 0a20 2020 2073 name: sudo. s
│ │ │ +00047cd0: 7461 7465 3a20 7072 6573 656e 740a 2020 tate: present.
│ │ │ +00047ce0: 7768 656e 3a20 2722 6c69 6e75 782d 6261 when: '"linux-ba
│ │ │ +00047cf0: 7365 2220 696e 2061 6e73 6962 6c65 5f66 se" in ansible_f
│ │ │ +00047d00: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'.
│ │ │ +00047d10: 2074 6167 733a 0a20 202d 204e 4953 542d tags:. - NIST-
│ │ │ +00047d20: 3830 302d 3533 2d43 4d2d 3628 6129 0a20 800-53-CM-6(a).
│ │ │ +00047d30: 202d 2050 4349 2d44 5353 7634 2d32 2e32 - PCI-DSSv4-2.2
│ │ │ +00047d40: 0a20 202d 2050 4349 2d44 5353 7634 2d32 . - PCI-DSSv4-2
│ │ │ +00047d50: 2e32 2e36 0a20 202d 2065 6e61 626c 655f .2.6. - enable_
│ │ │ +00047d60: 7374 7261 7465 6779 0a20 202d 206c 6f77 strategy. - low
│ │ │ +00047d70: 5f63 6f6d 706c 6578 6974 790a 2020 2d20 _complexity. -
│ │ │ +00047d80: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20 low_disruption.
│ │ │ +00047d90: 202d 206d 6564 6975 6d5f 7365 7665 7269 - medium_severi
│ │ │ +00047da0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74 ty. - no_reboot
│ │ │ +00047db0: 5f6e 6565 6465 640a 2020 2d20 7061 636b _needed. - pack
│ │ │ +00047dc0: 6167 655f 7375 646f 5f69 6e73 7461 6c6c age_sudo_install
│ │ │ +00047dd0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e ed.
│ │ │ +00047de0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22
<
│ │ │ +00047f20: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974 tr>| Complexit
│ │ │ +00047f30: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f y: | low | |
│ │ │ +00047f50: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e Disruption: |
│ │ │ +00047f60: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472 low |
|---|
| Reboot:
│ │ │ +00047f80: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f | false |
|---|
|
│ │ │ +00047fa0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74 Strategy: | enable
|---|
<
│ │ │ +00047fd0: 636f 6465 3e69 6e63 6c75 6465 2069 6e73 code>include ins
│ │ │ +00047fe0: 7461 6c6c 5f73 7564 6f0a 0a63 6c61 7373 tall_sudo..class
│ │ │ +00047ff0: 2069 6e73 7461 6c6c 5f73 7564 6f20 7b0a install_sudo {.
│ │ │ +00048000: 2020 7061 636b 6167 6520 7b20 2773 7564 package { 'sud
│ │ │ +00048010: 6f27 3a0a 2020 2020 656e 7375 7265 203d o':. ensure =
│ │ │ +00048020: 2667 743b 2027 696e 7374 616c 6c65 6427 > 'installed'
│ │ │ +00048030: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c ,. }.}.<
│ │ │ +00048040: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c /pre>
.[[packa
│ │ │ +00048160: 6765 735d 5d0a 6e61 6d65 203d 2022 7375 ges]].name = "su
│ │ │ +00048170: 646f 220a 7665 7273 696f 6e20 3d20 222a do".version = "*
│ │ │ +00048180: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c ".<
│ │ │ 00048190: 2f64 6976 3e3c 6120 636c 6173 733d 2262 /div>Remediation
│ │ │ -0007a770: 4f53 4275 696c 6420 426c 7565 7072 696e OSBuild Blueprin
│ │ │ -0007a780: 7420 736e 6970 7065 7420 e287 b23c 2f61 t snippet ...
.[[packages]].
│ │ │ -0007a7e0: 6e61 6d65 203d 2022 6c69 6270 616d 2d70 name = "libpam-p
│ │ │ -0007a7f0: 7771 7561 6c69 7479 220a 7665 7273 696f wquality".versio
│ │ │ -0007a800: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c n = "*".<
│ │ │ -0007a810: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c /pre>
│ │ │ -0007a8e0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65 | Comp
│ │ │ -0007a960: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e lexity: |
│ │ │ -0007a970: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472 low |
|---|
| Disruption:
│ │ │ -0007a990: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464 | low |
|---|
| Re
│ │ │ -0007a9b0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661 boot: | fa
│ │ │ -0007a9c0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472 lse |
|---|
| Strategy: | enable |
|---|
<
│ │ │ -0007aa00: 7072 653e 3c63 6f64 653e 696e 636c 7564 pre>
includ
│ │ │ -0007aa10: 6520 696e 7374 616c 6c5f 6c69 6270 616d e install_libpam
│ │ │ -0007aa20: 2d70 7771 7561 6c69 7479 0a0a 636c 6173 -pwquality..clas
│ │ │ -0007aa30: 7320 696e 7374 616c 6c5f 6c69 6270 616d s install_libpam
│ │ │ -0007aa40: 2d70 7771 7561 6c69 7479 207b 0a20 2070 -pwquality {. p
│ │ │ -0007aa50: 6163 6b61 6765 207b 2027 6c69 6270 616d ackage { 'libpam
│ │ │ -0007aa60: 2d70 7771 7561 6c69 7479 273a 0a20 2020 -pwquality':.
│ │ │ -0007aa70: 2065 6e73 7572 6520 3d26 6774 3b20 2769 ensure => 'i
│ │ │ -0007aa80: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d nstalled',. }.}
│ │ │ -0007aa90: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f .Remediation A
│ │ │ -0007ab50: 6e73 6962 6c65 2073 6e69 7070 6574 20e2 nsible snippet .
│ │ │ -0007ab60: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063 ..| Complexity
│ │ │ -0007abf0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74 : | low | | D
│ │ │ -0007ac10: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c isruption: | <
│ │ │ -0007ac20: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e td>low
|---|
│ │ │ -0007ac30: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c | Reboot:<
│ │ │ -0007ac40: 2f74 683e 3c74 643e 6661 6c73 653c 2f74 /th> | false |
|---|
| S
│ │ │ -0007ac60: 7472 6174 6567 793a 3c2f 7468 3e3c 7464 trategy: | enable |
|---|
- name: Gath
│ │ │ -0007aca0: 6572 2074 6865 2070 6163 6b61 6765 2066 er the package f
│ │ │ -0007acb0: 6163 7473 0a20 2070 6163 6b61 6765 5f66 acts. package_f
│ │ │ -0007acc0: 6163 7473 3a0a 2020 2020 6d61 6e61 6765 acts:. manage
│ │ │ -0007acd0: 723a 2061 7574 6f0a 2020 7461 6773 3a0a r: auto. tags:.
│ │ │ -0007ace0: 2020 2d20 4449 5341 2d53 5449 472d 5542 - DISA-STIG-UB
│ │ │ -0007acf0: 5455 2d32 302d 3031 3030 3537 0a20 202d TU-20-010057. -
│ │ │ -0007ad00: 2065 6e61 626c 655f 7374 7261 7465 6779 enable_strategy
│ │ │ -0007ad10: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578 . - low_complex
│ │ │ -0007ad20: 6974 790a 2020 2d20 6c6f 775f 6469 7372 ity. - low_disr
│ │ │ -0007ad30: 7570 7469 6f6e 0a20 202d 206d 6564 6975 uption. - mediu
│ │ │ -0007ad40: 6d5f 7365 7665 7269 7479 0a20 202d 206e m_severity. - n
│ │ │ -0007ad50: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a o_reboot_needed.
│ │ │ -0007ad60: 2020 2d20 7061 636b 6167 655f 7061 6d5f - package_pam_
│ │ │ -0007ad70: 7077 7175 616c 6974 795f 696e 7374 616c pwquality_instal
│ │ │ -0007ad80: 6c65 640a 0a2d 206e 616d 653a 2045 6e73 led..- name: Ens
│ │ │ -0007ad90: 7572 6520 6c69 6270 616d 2d70 7771 7561 ure libpam-pwqua
│ │ │ -0007ada0: 6c69 7479 2069 7320 696e 7374 616c 6c65 lity is installe
│ │ │ -0007adb0: 640a 2020 7061 636b 6167 653a 0a20 2020 d. package:.
│ │ │ -0007adc0: 206e 616d 653a 206c 6962 7061 6d2d 7077 name: libpam-pw
│ │ │ -0007add0: 7175 616c 6974 790a 2020 2020 7374 6174 quality. stat
│ │ │ -0007ade0: 653a 2070 7265 7365 6e74 0a20 2077 6865 e: present. whe
│ │ │ -0007adf0: 6e3a 2027 226c 6962 7061 6d2d 7275 6e74 n: '"libpam-runt
│ │ │ -0007ae00: 696d 6522 2069 6e20 616e 7369 626c 655f ime" in ansible_
│ │ │ -0007ae10: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'.
│ │ │ -0007ae20: 2020 7461 6773 3a0a 2020 2d20 4449 5341 tags:. - DISA
│ │ │ -0007ae30: 2d53 5449 472d 5542 5455 2d32 302d 3031 -STIG-UBTU-20-01
│ │ │ -0007ae40: 3030 3537 0a20 202d 2065 6e61 626c 655f 0057. - enable_
│ │ │ -0007ae50: 7374 7261 7465 6779 0a20 202d 206c 6f77 strategy. - low
│ │ │ -0007ae60: 5f63 6f6d 706c 6578 6974 790a 2020 2d20 _complexity. -
│ │ │ -0007ae70: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20 low_disruption.
│ │ │ -0007ae80: 202d 206d 6564 6975 6d5f 7365 7665 7269 - medium_severi
│ │ │ -0007ae90: 7479 0a20 202d 206e 6f5f 7265 626f 6f74 ty. - no_reboot
│ │ │ -0007aea0: 5f6e 6565 6465 640a 2020 2d20 7061 636b _needed. - pack
│ │ │ -0007aeb0: 6167 655f 7061 6d5f 7077 7175 616c 6974 age_pam_pwqualit
│ │ │ -0007aec0: 795f 696e 7374 616c 6c65 640a 3c2f 636f y_installed.
<
│ │ │ +0007a800: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974 tr>| Complexit
│ │ │ +0007a810: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f y: | low | |
│ │ │ +0007a830: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e Disruption: |
│ │ │ +0007a840: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472 low |
|---|
| Reboot:
│ │ │ +0007a860: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f | false |
|---|
|
│ │ │ +0007a880: 5374 7261 7465 6779 3a3c 2f74 683e 3c74 Strategy: | enable
|---|